Работа с сертификатами

При взаимодействии с оркестратором устройство CPE проверяет, можно ли доверять сертификатам оркестратора для предотвращения MITM-атак. По умолчанию устройство CPE доверяет публичным центрам сертификации.

Если для оркестратора используются сертификаты, подписанные пользовательским центром сертификации, вам нужно загрузить их в веб-интерфейс оркестратора и установить на устройствах CPE. Поддерживаются одиночные корневые сертификаты и цепочки сертификатов, состоящие из одного корневого сертификата и нескольких промежуточных сертификатов.

За 30 дней до окончания срока действия сертификата уведомление об этом отображается при входе в веб-интерфейс оркестратора.

Таблица сертификатов отображается в разделе SD-WAN → Сертификаты. Информация о сертификатах отображается в следующих столбцах таблицы:

• Общее имя – доменное имя или имя хоста, для которого предназначен сертификат.
• Организация – имя организации, выпустившей сертификат.
• Распространить на CPE – флажок для установки сертификата на устройствах CPE. Сертификаты, рядом с которыми установлены флажки, устанавливаются на устройствах CPE в следующих случаях:
  • при автоматической регистрации (ZTP) устройства CPE;
  • при перезагрузке устройства CPE;
  • при ручной установке сертификатов на устройстве CPE.

  При неправильном выборе сертификатов устройство CPE может перестать доверять сертификату оркестратора и отключиться от него.

• От – дата начала действия сертификата.
• До – дата окончания действия сертификата.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Загрузка сертификата в веб-интерфейс оркестратора

Чтобы загрузить сертификат в веб-интерфейс оркестратора:

1. В меню перейдите в раздел SD-WAN → Сертификаты.

   Отобразится таблица сертификатов.

2. В верхней части страницы нажмите на кнопку + Сертификат.
3. Укажите путь к файлу сертификата в формате PEM. Максимальный размер файла: 16 КБ.

Сертификат будет загружен и отобразится в таблице. Отобразится сообщение Сертификат <имя сертификата> загружен.

Ручная установка сертификатов на устройствах CPE

Чтобы установить сертификаты на устройствах CPE:

1. В меню перейдите в раздел SD-WAN → Сертификаты.

   Отобразится таблица сертификатов.

2. Установите флажки Распространить на CPE рядом с загруженными сертификатами, которые вы хотите установить на устройствах CPE.
3. Нажмите на кнопку Применить на CPE.

Сертификаты будут установлены на устройствах CPE. Отобразится сообщение Сертификаты применены к CPE.

Сценарий: установка сертификатов на устройстве CPE с версией прошивки 23.07

Вы можете установить корневой сертификат или цепочку сертификатов, подписанных пользовательским центром сертификации, на устройстве CPE с версией прошивки 23.07. Версия прошивки 23.07 полноценно не поддерживается текущей версией оркестратора, поэтому при использовании этой версии прошивки могут возникнуть технические неполадки. Мы рекомендуем обновить прошивки всех устройств CPE до последней версии.

Сценарий установки сертификатов на устройствах CPE с версией прошивки 23.07 состоит из следующих этапов:

1. Загрузка сертификатов в веб-интерфейс оркестратора

   Загрузите сертификаты в веб-интерфейс оркестратора.

2. Генерация веб-адреса с базовыми параметрами устройства CPE

   Сгенерируйте веб-адрес с базовыми параметрами устройства CPE, при этом выполнив следующие действия:

   1. В раскрывающемся списке Версия выберите 23.07.
   2. Нажмите на кнопку Копировать рядом со всеми сгенерированными веб-адресами.
   3. Сохраните скопированные веб-адреса.
3. Установка сертификатов на устройстве CPE

   Поочередно перейдите по скопированным веб-адресам на устройстве CPE, на котором вы хотите установить сертификаты.

Устройство CPE будет перезагружаться после установки каждого сертификата.

Экспорт сертификата

Чтобы экспортировать сертификат:

1. В меню перейдите в раздел SD-WAN → Сертификаты.

   Отобразится таблица сертификатов.

2. Нажмите на сертификат, который вы хотите экспортировать.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Экспортировать.

На ваше локальное устройство сохранится файл сертификата в формате PEM.

Удаление сертификатов

Удаленные сертификаты невозможно восстановить.

Чтобы удалить сертификаты:

1. В меню перейдите в раздел SD-WAN → Сертификаты.

   Отобразится таблица сертификатов.

2. Если вы хотите удалить отдельный сертификат, выполните следующие действия:
   1. Нажмите на сертификат, который вы хотите удалить.

      В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

   2. В верхней части области настройки в блоке Действия нажмите на кнопку Удалить.
3. Если вы хотите удалить несколько сертификатов, выполните следующие действия:
   1. Установите флажки рядом с сертификатами, которые вы хотите удалить.
   2. В верхней части таблицы нажмите на кнопку Действия → Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Сертификаты будут удалены и перестанут отображаться в таблице.